Lug0420094 Luglio 200928 Gennaio 20140Commentidi Ermanno Goletto

Errore Accesso Negato durate sessione Offri assistenza e apparati di rete

Pubblicato in IT, Tips

Testando la funzionali Offri assistenza su un gruppo di computer con XP SP3 ho rilevato l’errore Accesso Negato, ovviamente dallo computer autenticato con le stesse credenziali la funzionalità verso altri computer funzionava perfettamente.

Per approfondire l’analisi ho attivato il log del firewall sul computer che non riuscivo a raggiungere ed ecco il risultato dove 10.0.0.a è il computer da cui viene avviata la funzionalità offri assistenza, 10.0.0.b è il computer a cui da assistere e 10.0.0.dc il domain controller

 

#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time           action       protocol src-ip   dst-ip    src-port dst-port

         2009-06-30 10:15:40 OPEN-INBOUND TCP      10.0.0.a 10.0.0.b  1681     135
         2009-06-30 10:15:40 OPEN-INBOUND TCP      10.0.0.a 10.0.0.b  1682     135 
         2009-06-30 10:15:40 OPEN         UDP      10.0.0.b 10.0.0.dc 1104     389
         2009-06-30 10:15:40 OPEN         TCP      10.0.0.b 10.0.0.dc 1105     135
         2009-06-30 10:15:40 OPEN         TCP      10.0.0.b 10.0.0.dc 1106     1025
         2009-06-30 10:15:40 OPEN-INBOUND TCP      10.0.0.a 10.0.0.b  1683     1107

Come si può notare dopo una prima connessione in ingresso tra host a e hhost b su porta TCP 135, ne segue una in uscita da b verso il domain controller durante la quale si verifica che l’utente che ha avviato la chiamata per offrire assistenza sia autorizzato a farlo ovvero sia un amministratore di dominio o sia membro del gruppo specificato nel criterio di gruppo Configurazione Computer \ Modelli amministrativi \ Sistema \ Assistenza remota \ Offri Assistenza remota (come ho descritto nell’articolo Gestione dell’assistenza remota nell’ambito dell’infrastruttura aziendale).

Nel mio caso il problema era proprio in questa fase, e il sospetto mi è venuto verificando che se avviata con credenziali di Amministratore di dominio la sessione Offri Assistenza non generava errori.

La fonte dell’errore era il nome del gruppo a cui appartenvano gli utenti abilitati ad offrire assistenza che era del tipo Area Sistemi Informativi quindi di una certa lunghezza (oltre i quindici caratteri) e con spazi.

Rinominando il gruppo in Area-IT il problema è scomparso ed era probabilmente dovuto agli apparati di rete dati su cui era attestato quel gruppo di computer che non gestivano correttamente il nome del gruppo a causa della lunghezza o della presenza di spazi.